Именование и защита объектов в операционных системах тема диссертации и автореферата по ВАК РФ 01.01.10, кандидат физико-математических наук Иванова, Ольга Львовна

Широкое внедрение автоматизированных систем обработки информации во все области народного хозяйства свидетельствует, с одной стороны, об объективной необходимости использования передовых научных достижений в повышении эффективности производства, а с другой стороны - о достаточно высоком уровне развития соответствующих областей науки и техники. Практическим подтверждением этому служит освоение серийного производства комплексов технических средств EG ЭВМ и GM ЭВМ, которые могут служить базой для самых разнообразных применений.

Одной из наиболее актуальных задач, стоящих перед разработчиками современных операционных систем является обеспечение регламентированного доступа различных вычислительных процессов к разделяемой информации и ресурсам: их именование, доверение, а также защита от возможных помех со стороны других вычислительных процессов. Причем, по мере увеличения объема информации, развития средств и методов ее обработки, создания больших и сложных систем обработки указанная задача будет приобретать все большую остроту [3, 43, 47] .

Причиной интенсивного исследования этой проблемы послужило создание в середине 60-х годов вычислительных систем, обеспечивающих мультипрограммный режим решения задач. Позднее с появлением мультипроцессорных вычислительных систем, а затем и сетей ЭВМ защита информации стала особенно актуальной. Это связано с тем, что, с одной стороны, резко увеличился объем хранимой в ЭВМ информации, а с другой - появилась необходимость ее централизованного хранения, создания единых банков данных и обеспечения доступа к ним большое количеству различных пользователей.

Тенденция совместного использования информации появилась еще в конце 60-х годов. Так Р.Н.йано отмечал, что самый большой вклад в использование ЭВМ состоял бы в поощрении "пользователей системы основывать свою работу на работе других пользователей"; Дж.Деннис рассматривает вычислительные системы как среду, в которой малые информационные системы могут процветать за счет больших" [бб]• Наибольшее значение проблема совместного использования информации приобрела в настоящее время, В работе [3] академик В.М.Глушков, обосновывая необходимость создания Общегосударственной системы сбора и обработки информации, указывал: "В нашей стране сеть ЭВМ служит задаче оптимального управления экономикой в народном хозяйстве" • Э.Я.Якубайтис в работе [21] отмечает "в ближайшие годы многомашинные ассоциации будут не только существенно влиять на развитие науки.,, но будут иметь большое социальное значение. обеспечат возможность доступа многим пользователям к самым разнообразным информационно-вычислительным ресурсам".

Разделяемый, регламентированный доступ к различной информации и ресурсам обеспечивается механизмом защиты, который является частью программного обеспечения или аппаратуры.

Большинство выпускаемых в настоящее время вычислительных систем обладает как аппаратными, так и программными средствами защиты. Почти во всех системах, построенных на базе ЕС ЭВМ и СМ ЭВМ, реализован аппарат защиты памяти. В операционных системах, обслуживающих эти ЭВМ имеются средства защиты файлов. Развитая схема доверения ресурсов существует в ОС ШМ для ЭВМ БЭСМ-6 [ii] . Оригинальный аппарат защиты реализован в МВД "Эльбрус-I" на основании нелинейной структуры памяти [2, 16].

Среди наиболее интересных зарубежных разработок следует назвать систему разделения времени АДЕПТ-50 [19, 68], проект Multics [55, 59], Resours security system фирмы IBM

18, 43], операционные системы ucla (версия unix ) [5б] и vax/vms для ЭВМ vax -11/780 [42], а также такие вычислительные системы, как hydra, staros [бб, 40], Capability Oriented Processor [38] ,iAPX- 432"[б].

При проектировании указанных систем большое внимание уделялось вопросам наиболее рационального разделения функций защиты между программным обеспечением и аппаратурой* Высказывались предположения, что следует базовые функции операционной системы выделять в некое системное ядро, правильность функционирования которого не вызывает сомнений [15, 22, 35, 53] . В настоящее время существует ряд операционных систем, построенных на основании такого подхода [22, 60-61]. Аналогичный подход применялся при разработке базовой вычислительной системы, состоящей из функцилнально-ориентированных процессоров [4, б]. Одним из процессоров в ней является процессор управления, который берет на себя основные функции операционной системы.

Разработка практических систем сопровождалась теоретическим обоснованием концепций, лежащих в основе их построения. Подобное обоснование, как правило, проводится на моделях. За последние 10-15 лет появилось значительное число теоретических работ, в которых строятся и анализируются различные модели защиты.

Одна из первых таких моделей описана в работе [23]. В качестве других примеров следует назвать "Пятимерное пространство безопасности Хартсона" [37], "Алгебраическую модель взаимодействия субъектов и объектов в вычислительной системе" [4l], "Огруктурную модель безопасности информационного потока" Д.Ден-ниг [28], "Модель системы защиты" М.Харрисона [Зб]. Интересные выводы делаются Харрисоном. В своей работе он показывает, что проблема безопасности системы защиты в общем случае является алгоритмически неразрешимой.

Основным недостатком указанных моделей является введение слишком большого числа ограничений,из-за чего они, как правило, становятся нежизнеспособными. Лишь для отдельных частных вопросов удалось сформулировать корректные постановки задач и получить практически значимые решения.

В результате практических и теоретических исследований при построении моделей и систем защиты были сформулированы стройные концепции защиты. Одно из направлений опирается на концепцию удостоверений * [29-31, 50].

Идея удостоверений, выдаваемых в виде "билетов" и разрешающих использование информации, была сформулирована Деннисом и Ван Хорном в 66-67 гг. как обобщение схем адресации и защиты, основанных на кодословах вычислительной машины rice, дескрипторах машин фирмы Burroughs , сегментах в вычислительной системе Multics, ibm - 370 [I, 8 , 9, 14, 54-55].

С помощью удостоверений оказалось возможным идентифицировать любые объекты, управляемые операционной системой* Под объектами понимают элементы программного обеспечения и аппаратуры: файлы, справочники, библиотеки подпрограмм, участки оперативной памяти, процессы, другие операционные системы, терминалы, каналы связи ш т.п.

Основные принципы построения систем именования и защиты объектов, основанных на удостоверениях, были сформулированы в работе [34]. В этой работе все объекты, управляемые операционной системой, подразделяются на активные и пассивные.

Активные объекты называют также субъектами. Примером субъек Подобный перевод термина в работе [l7]. capability" был предложен та являемся процесс. Аппарат удостоверений обеспечивает контролируемый доступ субъектов к объектам. Каждое удостоверение содержит имя объекта и привилегии, которые субъект имеет на объект. Размещаются удостоверения в доменах» Домен является "средой выполнения" субъекта, он определяет его адресное пространство и множество привилегий доступа ко всем объектам. Существует возможность передачи привилегий из одного домена в другой. В этом случае говорят, что домены связаны отношением доверения.

В диссертации анализируется функционирование систем именования и защиты объектов, основанных на концепции удостоверений, с целью создания формальной модели именования и защиты объектов операционной системы, рассмотрения на ее основе общей схемы процесса доверения привилегий регламентированного доступа на разделяемый объект между различными доменами и построения базовой системы команд, реализующей механизм именования и защиты объектов операционной системы. Показано, что схема доверения привилегий доступа может быть описана с помощью связного ориентированного графа (графа доверения), вершинам которого сопоставлены домены, а ребрам - функции доверения привилегий. Разработаны эффективные алгоритмы вычисления привилегий регламентированного доступа к объекту для различных доменов указанного графа, доказана их сходимость. При разработке и доказательстве сходимости алгоритмов использовались некоторые результаты теории графов и теории множеств [7, 10, 12, 13]. Данные теоретического исследования были применены при построении базовой системы команд.

Излагаемый в диссертации подход к исследованию систем именования и защиты объектов предлагается впервые. В настоящее время имеются работы, в которых рассматриваются формальные модели именования и защиты, построенные с использованием удостоверений [32, 63] . В работе [32] моделируемая система анализируется с точки зрения ее безопасности. В работе [63] рассматриваются некоторые частные случаи процесса доверения привилегий. Однако, ни в одной из существующих работ проблема доверения привилегий доступа на разделяемый объект, организация регламентированного доступа, не рассматривается в достаточно общем виде, с одной стороны, а с другой - настолько адекватно реальной схеме, чтобы данные теоретического исследования можно было применять для построения реальных систем именования и защиты.

В диссертации впервые на основе формальной модели именования и защиты объектов проведен адекватный анализ общей схемы доверения привилегий доступа на разделяемый объект, который показал, что в общем случае схема доверения привилегий может быть описана связным ориентированным графом (графом доверения). Разработаны и доказаны алгоритмы вычисления привилегий в вершинах графа, предложена обоснованная система команд, реализующая механизм именования и защиты объектов в ядре операционной системы.

Результаты, полученные в диссертации, могут непосредственно применяться при разработке операционных систем с развитым аппаратом именования и защиты объектов:

- предложенная математическая модель дает возможность единообразно описывать системы именования и защиты объектов, основанные на концепции удостоверений;

- разработанные алгоритмы позволяют эффективно определять привилегии доступа различных пользователей или вычислительных процессов в любой момент времени при обращении к разделяемым объектам!

- ю

- приведенная в диссертации система команд может являться основой для построения ядра операционной системы с развитыми средствами защиты объектов,

В первой главе дан обзор наиболее интересных систем и моделей защиты, построенных на основе аппарата удостоверений, а также некоторых родственных систем, предшествующих их появлению. Приведены определения основных понятий, с использованием которых строятся подобные системы, В качестве примеров рассматриваются: классическая модель именования и защиты объектов Грехема -Деннинга [34], система Multics фирмы Honeywell [25, 27, •.I,

55, 59, 61]. Иерархическая модель защиты [64], ncs [57], cap [49, 51; 52], операционная система hydra , разработанная ДЛЯ Мультипроцессора Cmmp [24, 39, 46 , 66, 67], iAPX-432 [6],

Приведено также описание системной архитектуры с нелинейной организацией памяти на примере МВК "Эльбрус11 и Базовой машины Айлифа, которая может 'успешно использоваться для построения систем именования и защиты [l, 2, 15] •

Проанализированы основные достоинства и недостатки указанных систем.

Во второй главе приводится формальное описание общей модели вычислительной системы и модели именования и защиты объектов, позволяющей единообразно описывать системы именования и защиты, основанные на концепции удостоверений. На базе модели именования и защиты объектов разработана схема доверения привилегий регламентированного доступа на разделяемый объект между различными доменами. Показано, что этой схеме соответствует связный ориентированный граф (граф доверения), вершинам которого сопоставлены домены, а ребрам - функции доверения привилегий.

Проанализирована структура графа для различных случаев доверения (простая цепочка доверения, иерархическое доверение, доверение с совместным управлением). Выведены формулы вычисления привилегий в вершинах графа доверения. Показана неоднозначность определения привилегий для графов доверения, содержащих контуры. Разработаны эффективные алгоритмы вычисления привилегий для различных графов доверения. Предложен оптимизирующий алгоритм вычисления привилегий в вершинах -графа при переопределении привилегий в некоторой вершине. Доказана сходимость этих алгоритмов. Основные положения модели проиллюстрированы на примерах,

В третьей главе рассматривается реализация модели именования и защиты объектов в операционных системах. Все построения основываются на теоретических положениях второй главы. Рассмотрена структура множества привилегий, вид удостоверений, принципы построения субъектов, объектов, доменов. Приводится базовая система команд, являющаяся основой построения ядра операционной системы с многоуровневой системой защиты объектов.

В указанную систему команд входят команды:

- создания и удаления объектов, типов, доменов, удостоверений, процессов;

- передачи, отмены и вычисления привилегий для различных доменов системы.

В заключении кратко перечислены основные результаты, полученные в диссертации.

ВЫВОДЫ

Описанная в данной главе система команд может использоваться при проектировании операционной системы с многоуровневой системой доступа ко всем управляемым ею объектам, с многоуровневой системой защиты объектов. Указанная система команд должна быть реализована на самом нижнем уровне, в ядре операционной системы. Работа с удостоверениями также должна производиться на уровне ядра. Предполагается, что со всех остальных уровней можно обращаться к ядру только через данный командный интерфейс.

Полнота следует из того, что данная система команд реализует любую схему доверения, описанную во второй главе.

Приведенная система команд является базовой в том смысле, что при каждой конкретной реализации к ней могут быть добавлены команды, учитывающие спицифические особенности работы с объектами.

ЗАКЛЮЧЕНИЕ

Диссертационная работа посвящена исследованию одной из важных задач, стоящих перед разработчиками современных операционных систем - обеспечению регламентированного доступа вычислительных процессов к разделяемым объектам, информации и ресурсам : их именованию, доверению, а также защите от возможных помех со стороны других вычислительных процессов. В работе подробно рассматриваются системы именования и защиты, основанные на концепции удостоверений. Основные результаты, полученныз автором, заключаются в следующем:

1. Построена математическая модель, позволяющая единообразно описывать системы именования и защиты, основанные на концепции удостоверений.

2.На основе разработанной математической модели проведен анализ процесса доверения привилегий на разделяемый объект между различными доменами системы. Показано, что схема доверения привилегий может быть описана связным ориентированным графом : - графом доверения, вершинам которого сопоставлены домены, а'ребрам - функции доверения привилегий доступа. Выведены формулы вычисления привилегий в вершинах графа доверения.

3. Разработан эффективный алгоритм вычисления привилегий для графа, не содержащего контуры. Доказаны существование и единственность максимальной и минимальной систем распределения привилегий для графа с контурами,' предложены конструктивные алгоритмы формирования этих систем и доказана их сходимость. Разработан оптимизирующий алгоритм вычисления привилегий для графа доверения общего вида и доказана его сходимость.

4. Разработана и обоснована базовая система команд, реализующая механизм именования и защиты объектов операционной системы.

Основные положения диссертации отражены в следующих работах:

1. Задыхайло И.Б., Иванова О.Л. Именование и защита объектов в вычислительных системах. Препринт. - М.: ИПМ АН CCCPr 1979, № 19г 28с.

2. Иванова О.Л. Именование и защита объектов,, основанные на концепции удостоверений. - В кн.: Измерительно-вычислительные комплексы и системы автоматизации научного эксперимента.

М.: ИНЭУМ, 1979, с. I07-II4. /Труды Института, вып. 73/.

3. Задыхайло И.Б., Иванова О.Л. Формальная модель именования и ёащиты объектов вычислительной системы. Препринт. - М.: ИПМ АН COOP, 1983, £ 97, 24 с.

4. Иванова О.Л. Некоторые вопросы реализации доступа к разделяемым объектам на микро-ЭВМ. - В кн.: Технические и программные средства CM-I800. Средства межмашинного обмена и системные применения. М.: ИНЭУМ, 1984. /Труды Института, вып.105, в печати/.

1. Айлиф Дне. Принципы построения базовой машины. М.: Мир, 1983, 119с»

2. Бабаян Б.А. Основные принципы программного обеспечения МВК "ЭЛЬБРУС". Препринт» М.: ИТМ и ВТ АН СССР, 1977, £ 5, 11с.

3. Глушков В.М. Проблемы ОГАС на современном этапе. В кн.: Алгоритмы и организация решения экономических задач. М.: Статистика, 1975, вып. 6, с.5-14.

4. Задыхайло И.Б. и др. Вычислительная система с внутренним языком повышенного уровня. Препринт. М.: ИПМ АН СССР,, 1975, $ 41, 42с.

5. Задыхайло И.Б», Иванова О.Л. Именование и защита объектов в вычислительных системах. Препринт. М.: ИПМ АН СССР, 1979, В 19, с. 3.

6. Канн К. Объектно-ориентированные языки, существенно повышающие эффективность программирования. Электроника, 1982, т. 55,23 „ с. 50-56.

7. Карпов В.Г., Мощенский В.А. Математическая логика и дискретная математика. Минск: Вышейная школа, 1977, 254с.

8. Катцан Г. Вычислительные машины . системы -370 . М.: Мир,1974, 508с.

9. Королев Л.Н. Структуры ЭВМ и их математическое обеспечение.-М.: Наука, 1978, изд. 2-е,. 352с.

10. Кофманг А. Введение в прикладную комбинаторику. М.: Наука,1975, 480с.

11. Кристофидес Н. Теория графов. Алгоритмический подход. М.: Мир, 1978, 432с.

12. Крюков В.А. и др. Математическое обеспечение БЭСМ-6. Инструкция по использованию операционной системы ОС ИПМ. М.: ИПМ АН СССР, 1975, 170с.

13. Ope 0. Теория графов. М.: Наука, 1980, 336с.

14. Принципы работы системы ibk-370. /Под ред. Л.Д. Райкова. -М.: Мир, 1975, 576с.

15. Сяо Д., Керр Д., Мэдник С. Защита ЭБМ.— м.: Мир, 1982, 263с.

16. Торчигин В.П. Система файлов МВК "ЭЛЬБРУС-Г*. Препринт. -M.s ИТМ и ВТ АН СССР, 1977, № 3, 39с.

17. Уилкс М. Системы с разделением времени. М.-: Мир* 1972, 122с.

18. Уолкер Б.Д&, Блейк Я.Ф. Безопасность ЭВМ и организация их защиты. М.: Связь, 1980, 112с.

19. Хоффман Л.Дж. Современные методы защиты информации. ~ М.: Советское радио, 1980,. 265с.

20. Цикритзис Д., Бернстайн Ф. Операционные системы. М.: Мир, 1977, с.176-199.

21. Якубайтис Э.А. Архитектура вычислительных сетей. М#: Статистика, 1980, 279с.

22. Ames 5.R., Gesser М., Scell R.R. Security Kernel. Desiqn and Implementation: An Introduction. Computer, 1983, V.16, N 7, pp.14-22.

23. Bell D.E. Secure Computer Systems: a refinment of the mathematical model. Springfield, Mitre Corporation, Report N2547, 1974, 75p.

24. Cohen E., Jefferson P. Protection in HYDRA Operating System. -ACM Operating System Review, 1975, V.9, N5, pp.I4I-I6l.

25. Corbato F.J., Saltser J.H. Multics Ihe First Seven Years.-AFIPS Conferens Proceedings, FJCC, 1972, V. 41, pp.571-583.

26. Daley R.C., Hensoussan A., Clingen C. The Multics Virtual memory: consepts and desygn. Communications of the ACM, 1972, V.15, N5, pp. 308-318.

27. Daley R.C., Denning J.B, Virtual Memory, Processia and Sheringin Multics.- Communications of the ACM, 1968, V.II, IM5#pp. 3§6-3l0

28. Denning D.E.,A Lattice Model of Secure Information Klow.-Communications of the ACM, 1976, V.I9, N5, pp236-243.

29. Ddnnis J.В., Van Horn £.C. Programming Semantics for Multiprog-rammed computations.-Communications of The ACM, 1966, V.9, N3, pp.143-155.

30. Fabri R.S. The case for capability based computer.-ACM Operating System Heview.-I973, V.7, N5, pp.120-121.

31. Fabry U.S. Capability based addressing. Communications of the ACM, 1974, V.17, N7, pp.403-411.

32. Hansen B. The Nucleus of the Multiprogramming System. Communications of the ACM, 1970, V.13,N4, pp.338-250.

33. Harrison M.A., Russo W.L. Protection in operating Systems. -Communications of the ACM, 1976, V.I9, N8, pp.461-471.

34. Hartson R., Hsiao U. Full protection specification in the semantic model for database protection languages. Proceedings annual Conferens ACM Houston, New-York, 1976, pp.90-95.

35. Herbert A.J. A New Protection architecture for the Cambrige capability computer. «CM Operating System Review, 1978, \/.I2, N1, pp.24-28.

36. Jones A.K. Towards the Design of Secure System, Software practice and experience, 1975, v. 5, N5, pp.321-336.

37. Jones A.K. Capability arhitecture revisited. ACM Operating System Review, 1900, V.I4, N.3, pp.33-35.

38. Kohout L., Gaines B.R. The logic of protection. Lecture Notes in Computer Science, 1975, N34, pp.736-751.

39. Karger P.A., Lioner S.B. Digital's Research Activities in Computer Security. Proceedings Eascon 82 IEEE, Wachington, 1982, RP.29-32.1..

40. Katzan H. Computer Data Security. New York, 1973, 223p.

41. Lampson B.W. Dynamic Protection Structures. Proceedings AFIPS, FJCC, 1969, V.35, pp.27-38.

42. Lampson B.W., Sturgis H.E. Reflection on an Operating System Design. Communications of the ACM, 1976* V.I9, pp.125-130.

43. Levin E., Wulf W. Policy/Mechanism separation in HYDRA. -Uperating System Heview, 1975, V.J), N5, pp.132-140.

44. Martin J. Design of Man-Computer Dialogues. Englewood Cliffs, New Jersey, 1973, pp.475-485.

45. Morris J.H. Protection in Programming Languages. Communications of the ACM, 1973, V.I6, N1, pp.15-21.

46. Needham K.M. The CAP Project an interim evaluation. - ACM Operating system Heview, 1977, V.II, N5, pp.17-23.

47. Needham H.M. Protection Systems and Protection Implementations,-Proceedings AFIPS, FJCC, 1972, V.4I, pp.571-578.

48. Needham R.M., birrel A.P. The CAP Filling System. ACM Operating System Heview, 1977, V.II, N5, pp.11-16.

49. Needham R.M., Walker H.D. the Cambrige CAP Computer and its Protection System. rtCM Operating System Review, 1977, V.II,1. N5, pp.i-IO.

50. Newell A. The Kernel Approach te Building Software System. -Computer Science Hecearch Review. Carnegie-Melon University, 1971, pp.20-38.

51. Organic E.I. Computer System Organization, The B5700-B6700. -New-York, Academic Press, 1973, I32p.

52. Organic E.I. The Multics System: An Examination of its Structure. Cambridge, Kit Press, 1972, 372p.

53. Scell R.R. A Security Kernel for a Multiprocessor microcomputer.-Computer, 1983, V.I6, N7, pp.23-30.

54. Schroeder H.P. Engineering a security kernal for Hultics. -ACM Uperating System Review, 1975, V.9, N5, pp.25-33,

55. Sevsick K.C. Project SUE as a Learning experiens. Proceedings AFIPS, FJCC, 1972, V.41, pp.43I-4I5,

56. Snyder L. Formal Model of tapability Based Protection System. -IEEE Transactions on Computers, 1981, V.C-30, N3, pp.172-181.

57. Spier Pf.J. A Model Implementation for protectiv domains. -International Journal on Computer Information Science, 1973, V.2, N3, pp.201-229.

58. Vanderbilt D.H. Controlled Information Sharing in a Computer Utility. MAC TR-67, HIT Press, 1969, I27p.

59. Wulf W. and others. HYDRA: The Kernel of the Multiprocessor Operating System. ~ Communications of the ACM, 1974, V.I7, N6, pp.337-345»

60. Wulf W. , Bell C. Cmmp A Mult! - Mini - processor. - Proceedings AFIPS, FJCC, 1972, V.41, pp.765-777.

61. Weissman C. Security Controls in the ADEPT-50 Time Sharing System. Proceedings AFIPS, FJCC, 1969, V.35, pp.ll$-133.